FreeBSD:phpmyadmin -- 複数の XSS および中間者の脆弱性(f682a506-df7c-11e5-81e4-6805ca0b3d42)
medium Nessus プラグイン ID 89049
Language:
概要
リモート FreeBSD ホストには、セキュリティ関連の更新がありません。説明
phpMyAdmin 開発チームによる報告:SQL パーサーの XSS の脆弱性。
細工された SQL クエリを使用することで、SQL クエリページを通して XSS 攻撃を引き起こすことが可能です。
弊社は、この脆弱性が重要ではないと考えています。
複数の XSS の脆弱性
特別に細工された URL を HOST ヘッダーの一部として送信することで、XSS 攻撃を仕掛けることが可能です。
Internet Explorer バージョン 8 未満および Windows の Safari で特別に細工された URL を使用した XSS 攻撃を可能にする弱点が見つかりました。
細工された SQL クエリを使用することで、SQL クエリページを通して XSS 攻撃を引き起こすことが可能です。
細工されたパラメーター値を使用することで、ユーザーアカウントページで XSS 攻撃を仕掛けることが可能です。
細工されたパラメーター値を使用することで、ズーム検索ページで XSS 攻撃を仕掛けることが可能です。
弊社は、この脆弱性が重要ではないと考えています。
複数の XSS の脆弱性
細工されたテーブル/列名を使って、データベースの正規化ページで XSS 攻撃を仕掛けることが可能です。
細工されたパラメーターを使って、データベースの構造ページで XSS 攻撃を仕掛けることが可能です。
細工されたパラメーターを使って、中央列ページで XSS 攻撃を仕掛けることが可能です。
弊社は、この脆弱性が重要ではないと考えています。
GitHub に対する API 呼び出しで中間者攻撃を可能にする脆弱性
GitHub に対する API 呼び出しの脆弱性が悪用され、中間者攻撃が実行される可能性があります。
弊社は、この脆弱性は深刻であると考えています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.phpmyadmin.net/security/PMASA-2016-10/
https://www.phpmyadmin.net/security/PMASA-2016-11/
https://www.phpmyadmin.net/security/PMASA-2016-12/
プラグインの詳細
深刻度: Medium
ID: 89049
ファイル名: freebsd_pkg_f682a506df7c11e581e46805ca0b3d42.nasl
バージョン: 2.5
タイプ: local
公開日: 2016/3/1
更新日: 2021/1/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:phpmyadmin, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2016/3/1
脆弱性公開日: 2016/2/29
参照情報
CVE: CVE-2016-2559, CVE-2016-2560, CVE-2016-2561, CVE-2016-2562